觀點

<2014亞太資安論壇展後報導>處理資安事件 小心別破壞數位證據

2014 / 04 / 11
編輯部
<2014亞太資安論壇展後報導>處理資安事件  小心別破壞數位證據
隨著個資法、營業祕密法的通過,企業面對法律訴訟的機率增加了,因此在面對資安事件時,除了思考如何加強防禦機制避免類似事件再度發生,更要重新檢視自身的舉證能力是否足夠。

鑒真數位資深鑑識顧問黃敬博指出,過往企業為了避免資料外洩,引進很多資安機制層層防禦,但是道高一尺魔高一丈,最終還是難百分之百防堵不懷好意的內賊或駭客入侵,如今在法律訴訟的風險考量下,除了強化防禦還要思考如何找出造成資料外洩的真正原因,倘若未來可能要走法律途徑,該如何蒐集證據,才能在法庭上立於不敗之地。

綜觀國外與侵權或營業祕密有關的訴訟案件,很多都是透過案發現場的數位證據找出原因,這些證據包含SOC、本機、系統、網路等不同面向的Log,然而目前企業的蒐證工具大多是分批採購,每一個面向使用一個產品,不夠全面。黃敬博認為,比較理想的作法是選擇具備數位鑑識機制的蒐證工具,一來是可以確保找得到證據;二來此類工具多半經過驗證,有既定SOP,企業不用承擔法律責任的風險,換句話說,企業不必擔心找到的證據不具證據力、不被法院承認。

一般企業在處理資安事件時,處理者的念頭通常都是「先讓系統復原,之後再去調查事發原因」,也因此忽略蒐集證據的必要性,忘了思考所使用的工具與方式會不會破壞或污染證據,導致事後找不到證據或找到的證據不具效力。舉例來說,從Log搜集設備取出的Log,很可能因為人員使用的不正確,造成即便是原始資料也不具證據力,又假設Log是明文(clear text)儲存,該如何證實它的連續性與有效性,這往往牽扯到程序與作法、工具應用...等問題。

因此,黃敬博強調,企業在處理資安事件時必須注意以下三點,避免對未來可能發生的訴訟案件造成影響:
1. 確認消失性資料與非消失性資料的封存程序;
2. 選擇一個適合且經過驗證的工具,確保不會污染證據;
3. 利用表單、錄影機...等工具輔助,假設在處理資安事件時,無論採用哪種作法都一定會污染證據,就可把處理程序錄影下來以茲證明。

數位證據是企業面對資料外洩相關訴訟時,取信於法官的關鍵,因此在處理資料外洩事件時,必須兼顧系統復原速度與蒐證必要性,使用正確的程序與工具,才能確保取得的證據具備效力。